Die Informationstechnik erfährt einen zunehmend rasanter werdenden Wandel. Digitale Geschäftsmodelle, neue Technologien, die stetig zunehmende Vernetzung und OT/IT-Konvergenz, Cloud- und Mobile Security sind dabei einige der wesentlichen Treiber.
Zudem werden viele technische Aspekte bei der Prüfung der bestehenden IT-Landschaft aufgrund ihrer Komplexität und dem hierzu erforderlichen Fachwissen bei der Prüfungsplanung nicht angemessen berücksichtigt. Durch die stetig steigende Abhängigkeit vieler Wertschöpfungsketten von einer zuverlässig funktionierenden IT ist das Verständnis dieser Risiken durch die Revision jedoch wichtiger denn je.
Das Seminar soll Mitarbeiter aus der Revision und anderen prüfungsnahen Bereichen ein Verständnis der Risiken moderner Technologien, aber auch die typischen technischen Sicherheitsrisiken der bestehenden IT-Landschaft darstellen. Zudem werden geeignete Vorgehensweisen für deren Bewertung vorgestellt und diskutiert. Weiterhin werden formale Anforderungen an die professionelle Durchführung oder Begleitung einer Prüfung dargestellt.
Die Teilnehmer erhalten durch die Veranstaltung einen Überblick über die folgenden Themengebiete:
- Auswirkungen der Digitalisierung auf die Risiko-Landschaft der Unternehmens-IT
- Kennenlernen von Cybersecurity-Themengebiete mit besonders hohem "risk of failure"
- Effiziente Prüfverfahren zur Aufdeckung sicherheitstechnische Risiken
In der Veranstaltung besteht auch die Möglichkeit auf individuelle Fragestellungen einzugehen.
Die Veranstaltung richtet sich an Mitarbeiter aus dem Revisionsumfeld.
Um bei der Konzeption von Architekturen und Systemen bereits von Anbeginn typische Fehler zu vermeiden - Stichwort Security by Design - ist diese Veranstaltung auch für IT-Architekten, und Mitarbeiter aus der Systemadministration von Interesse.
Die Veranstaltung ist insbesondere relevant für alle Unternehmen mit einer hohen IT-Abhängigkeit ihrer Wertschöpfungsketten, sowie für alle Revisionen, die technische Sicherheitsaspekte in ihrer Prüfungsplanung abdecken möchten.
Themenüberblick, 10:00 bis 18:00 Uhr:
- Begrüßung und Vorstellung
- Moderne Technologien und ihre Risiko-Aspekte
- Sicherheit von Cloud und virtualisierten Umgebungen (Container/Dockr/VMware)
- Mobile Security und Bring-your-own-device
- Web-Anwendungen und Apps
- SOC/SIEM/CDC
- Phishing und User Awareness
- Risikobehaftete Aspekte in bestehenden Unternehmenslandschaften
- Konvergenz von OT und IT unter IT-Sicherheitsgesichtspunkten
- Netzwerk- und Firewall-Architekturen und -Regelwerke
- Bewertung von Intrusion Detection und Intrusion Prevention Systemen
- Single point of failures erkennen und bewerten
- Betriebssystemsicherheit
- Softwareentwicklungsprozesse und Software-Qualität
- Gewichtung von Prävention, Detektion und Reaktion
- Formale Aspekte der Prüfung
- Aktuelle Prüfungsstandards und Normen im Überblick: ISO 27001, BSI ITGrundschutz,
- KRITIS, SOC1/2/3, TISAX, GxP, OWASP, PCI-DSS, SANS
- Anforderungen an eine faire und objektive Prüfungsdurchführung
- Dokumentation von Feststellungen, deren Bewertung und Berichterstattung
- Begleitung von Audits durch Zweite/Dritte
- Wrap-up
hat mehr als 18 Jahre Berufserfahrung als Security Consulting Professional für Unternehmen wie KPMG, Ernst & Young, Airbus Defence and Space, Accenture und HiSolutions. Er hat für mehr als 400 Kunden aller Branchen und Unternehmensgrößen Beratungs- und Auditdienstleistungen im Cybersecurity-Umfeld erbracht.
Er hat die BSI UP KRITIS Cyberkrisen-Übung 2015 konzeptioniert und begleitet, Cyberkrisen-Übungen für Unternehmen verschiedener Sektoren durchgeführt, 15 Jahre Berufserfahrung als Penetration Tester, war als IT-Forensiker und Krisenmanager für mehrere Kunden im Einsatz, Trainer einer Cyber Training Range und für mehrere Cyberversicherungsanbieter als Subject Matter Expert aktiv.
Berlin
